Uudised, sündmused ja blogi

ICANN57

Avatseremoonial märgiti ära järgmine ülddomeenide turule paiskamise ring, küll jätkuvalt mitte ühegi tähtajata. Kogukonna kaasamise mudel (multi stakeholder mode) ei ole lihtne pähkel puremiseks, kui laua taga on väga erinevate vaadete ja huvidega osapooled. 

Kolmetähelised riigi tunnused nagu .est on jätkuvalt mängust väljas. Esile tõsteti ka võitlus DNSi kuritarvitamisega (DNS abuse), 1 miljoni dollari annetamine interneti kättesaadavuse parandamiseks kriisiolukordades. Ning ICANNi president Göran Marby nimetas veel ära ka universaalse ligipääsetavuse ehk täpitähtedega domeenide kasutatavuse parandamise domeeninimedes kui jätkuvalt ühe olulise eesmärgi ICANNi tegevuses.

Erinevates töögruppides käsitletud teemad olid aga suures pildis kõik samad, mis aastaid tagasi, kui viimati seda üritust väisatud sai. Kohtumisi, küll peamiselt virtuaalseid, on vahepeal olnud, kuid mõju aruteludele ja koostööle on olnud räsiv. 

Isolatsiooni kogemus näitas, et kohtumine on vajalik ka siis, kui selle tulemusel ei sünni konkreetset otsust. Ka arutelul kui sellisel on väärtus - anda võimalus kõigile oma mõtteid väljendada, need ära kuulata, korrigeerida oma seisukohta või edasi vaielda. Demokraatia võlu ja valu - ühisosa tuvastamine, hoiakute muutmine ja kompromisside otsimine nõuabki lõputuna näivaid arutelusid.

Tehnilistel kohtumistel oli peamiseks teemaks DNSi kuritarvitamisega võitlemine ja turvalisuse küsimused. Huvitav on siinjuures kui erinevalt osapooled seda mõistet enda jaoks defineerivad - DNS süsteemi kasutamisest kuritegevuse korda saatmiseks (DDoS ründed näiteks), DNSi funktsioneerimise häirimise ja isegi interneti sisu puudutavate teemadeni välja. Sellepärast see teema ka nii raskelt edeneb.

CSYNC ehk DNSi tasemel kolmanda osapooleta DNSSEC võtmete saatmine registrisse on meil kasutuses juba mõnda aega, kuid ilmselgelt oleme jätnud selle teavitamise unarusse ja lihtsalt ei teata, et ka .ee tsoonis on selline võimalus olemas. DOT/DOH põhise DNS päringute krüpteerimise üks olulisi kitsaskohti on võtmete halduse keerukus ning osapoolte omavahelise usalduse vajadus. Selle kõrval aga tõsteti esile RFC9156 - DNS Query Name Minimisation, mis aitab parandada privaatsust DNSis.

Teine käsitletud kuid vähe kasutust leidev standard, mida võiks rakendada on RFC7507 - NULL MX. Eraldi DNS kirje teavitamaks, et see aadress ei võta vastu e-posti. Aitab vältida kasutuid päringuid e-posti serveri aadressi otsimiseks. Teatavasti ei piisa e-posti teenuse toimimise või mitte toimimise tuvastamiseks MX kirje olemasolu kontrollist. Kui seda ei leita, siis järgmisena minnakse domeeniga seotud A ja AAAA kirjeid kontrollima. NULL MX kirje aitab seda vältida.

ccNSO ehk riigi tunnusega registrite töögrupis oli olulisim teema EU initsiatiiv seoses geograafiliste tunnuste kaitsmisega domeeninimedes. Kas neid peaks üldse kuidagi eraldi kaitsma ccTLDdes? Seda siis kaubamärgi vaatenurgast - Paris, Champagne jne. Selle teemaga tegeleb WIPO - rahvusvaheline kaubamärgi kaitse organisatsioon. Kuid see ÜRO allasutus tegeleb vaid oma liikmetega. Tegemist äärmiselt laiali valguva teema ja käsitlusega - nagu kaubamärgi kaitsjatelt võikski oodata. Aluseks püütakse seada tavainimese vaatenurka - kas märk, pakendi disain, fraas, sõna mis on seotud mingi geograafilise piirkonnaga tekitab mingit ootust, eeldust, äratundmist. Menetluses on paralleelselt lausa kaks ettepanekut - üks põllumajanduse valdkonna piires, teine eelkõige veine ja piiritusjooke käsitlev. Mõlemas ettepanekus on aga konkreetselt ära nimetatud domeeninimed.

See on veidi kummaline teema, sest ühelt poolt on äärmiselt vähe, kui üldse, kuskil probleeme geograafiliste märkidega - ei ole meie ega ühegi teise kohalviibinud registri vaidluskomisjonis sellealast kaebust läbi käinud ning sama kinnitas ka kohal olnud Kanadas kaubamärgi kaitsega tegeleva organisatsiooni esindaja. Samal ajal lähevad ettepanekutes toodud meetmed kaugemalegi registreeritud kaubamärkide kaitsest.

Läbi on käinud ettepanek luua EUIPO nimeline hoiatussüsteem, mis informeerib geograafilisi tunnuseid ühendavat organisatsiooni kui vastav domeen on vaba, vabanenud või registreeritud. Puudub selgus kuidas selline süsteem peaks tehniliselt toimima. Ilmselt WIPO juures ja registrid peavad edastama selle tööks vajalikku infot.

Olgu ka ära märgitud, et jõustudes puudutab see vaid Euroopa riigitunnusega tippdomeene ja Euroopa geograafilisi indikaatoreid. Välja jäävad ülddomeenid ning EU väliseid domeenid ja tunnuseid. Mis seab EU ccTLDd kehvemasse seisu siin tegutsevate teiste tippdomeenidega võrreldes.

Kõige põnevam oli aga seekordsel üritusel DNSSECile pühendatud töötuba. DNSSECiga allkirjastatud domeenide arv kasvab hoogsalt. Meeldiva üllatusena kasvab ka DANE kirjete arv (signeeritud eposti teenused). Arutlesime kuidas veel DNSSECi juurutamisele kaasa aidata ja ühe tähelepanuväärse ettepanekuna tõstatati nn väikese pauguga DNSSEC - lühike TTL (RRSET, mitte võtme eluiga), kuni 60 sekundit uue võtme rakendamisel. Hiljem võib muuta pikemaks. Nii saab tagada muudatuse puhul võimalikult kiire rollback. Kuid lühikesest TTList ei piisa, vajalik ka kiire reageerimine registrite ja registripidajate poolt, et eemaldada või asendada probleemne võti.

Siin saavad registrid omalt poolt olulise töö ära teha - võtmete valideerimine enne tsooni lisamist (meie töötame juba selle lahenduse kallal). Kontrollida võtmete olemasolu kõikides nimeserverites, kas ahel on korrektne jne. Lisaks esmase kirje lisamisel lühike TTL ja võimalus EPP/REPP kaudu teha kiire rollback (ka registreerija portaalis). See aga paneb uude valgusesse meie 10 minutilise tsooni uuendamise intervalli, mis ei pruugi sellises olukorras olla enam piisavalt kiire.

DNSSECi automatiseerimise juures on oluliseks kiiresti levivaks tehnoloogiaks CSYNC (RFC7477) ja CDS/CDNSKEY (RFC7344). Kuid standardid ei määratle kuidas peaks vanem alamnimeserverites kirjeid kontrollima, kas piisab ühest või peaks kõiki autoriteetseid nimeservereid kontrollima. Korrektne on kontrollida kõiki - kõrvale võib jätta need, mis ei vasta või vastavad “I don’t server cds”.

Kanada register esitles oma digitaalse identiteedi projekti. .ca loob elektroonsete isikutõendite lugemise lahendust - püüavad arendada oma digirahakotti ja tuua kokku sajad nö usaldus (trust) registrid, et oleks võimalik kontrollida isikutõendi tõesust. Olulise elemendina on Kanadas aga puudu unikaalne identifikaator nagu meie isikukood. Pakuvad välja globaalset isikukoodide süsteemi ning selle üles ehitamist DNSi baasil kasutades DANE sertifikaati, et tuvastada dokumendi väljaandja autentsust. DNSSECi allkirja kasutamisepuuduseks on võtmete eluiga, mis jääb enamasti alla osade dokumentide kehtivusele nagu näiteks ülikooli diplom. Vaja mingit teist tehnoloogiat näiteks plokiahel, merkle tree vms.

Nii palju siis selleks korraks.